文档应避免通过 apt-key 系统全局信任 GPG 公钥

[phy25]

2021 年 12 月，CloudFlare 部分客户端软件 GPG 私钥遭到泄露，其后发布的一篇博客指出：

the impact of an improperly secured private key can have consequences that extend beyond the scope of one third-party repository.

简而言之，apt-key 加入的 GPG 公钥会在系统全局层面信任其签名的任意软件。apt 同时也支持按软件源验证签名，因此非系统级的第三方软件应该设置为按软件源验证签名，从而减小私钥泄露的攻击面。

经查，SJTUG 镜像的部分文档中存在使用 apt-key 的建议。以下是所有帮助中带有 apt-key 命令的项目（我查看了部分官方文档，如果其中有只对软件源本身设置验签的方法，我也顺便列出了地址）：

• [ ] https://mirrors.sjtug.sjtu.edu.cn/docs/docker-ce -> https://docs.docker.com/engine/install/debian/
• [ ] https://mirrors.sjtug.sjtu.edu.cn/docs/mongodb
• [ ] https://mirrors.sjtug.sjtu.edu.cn/docs/raspberry-pi-os-images (raspbian-addons，我建议移除那部分的文档指向到下面的文档)
• [ ] https://mirrors.sjtug.sjtu.edu.cn/docs/raspbian-addons -> https://docs.raspbian-addons.org/install/

[skyzh]

Thanks! 我们会尽快修复。